Schéma des journaux d’activité Microsoft Entra

Cet article décrit les informations contenues dans les journaux d’activité Microsoft Entra et la façon dont ce schéma est utilisé par d’autres services. Cet article traite des schémas du Centre d’administration Microsoft Entra et de Microsoft Graph. Les descriptions de certains champs clés sont fournies.

Prérequis

• Pour connaître les exigences en matière de licence et de rôle, consultez Gestion des licences Microsoft Entra et intégrité.
• L’option de téléchargement des journaux est disponible dans toutes les éditions de Microsoft Entra ID.
• Le téléchargement des journaux par programmation avec Microsoft Graph nécessite une licence Premium.
• Le lecteur de rapports est le rôle le moins privilégié nécessaire pour afficher les journaux d’activité Microsoft Entra.
• Les journaux d’audit sont disponibles pour les caractéristiques que vous avez sous licence.
• Les résultats d’un journal téléchargé peuvent afficher hidden pour certaines propriétés si vous n’avez pas la licence requise.

Qu'est-ce qu'un schéma de journal ?

Journaux de surveillance et d’état, rapports et outils de surveillance de Microsoft Entra qui peuvent être intégrés à Azure Monitor, Microsoft Sentinel et à d’autres services. Ces services doivent mapper les propriétés des journaux aux configurations de leur service. Le schéma est la carte des propriétés, les valeurs possibles et la façon dont elles sont utilisées par le service. Comprendre le schéma du journal est utile pour une résolution des problèmes et une interprétation des données efficaces.

Microsoft Graph est le principal moyen d’accéder aux journaux Microsoft Entra par programmation. La réponse d’un appel Microsoft Graph est au format JSON et inclut les propriétés et les valeurs du journal. Le schéma des journaux est défini dans la documentation Microsoft Graph.

Il existe deux points de terminaison pour l’API Microsoft Graph. Le point de terminaison V1.0 est le plus stable et est couramment utilisé pour les environnements de production. La version bêta contient souvent plus de propriétés, mais elles sont susceptibles de changer. Pour cette raison, nous vous déconseillons d’utiliser la version bêta du schéma dans les environnements de production.

Le client Microsoft Entra peut configurer les flux de journal d’activité à envoyer aux comptes de stockage Azure Monitor. Cette intégration permet la connectivité SIEM (Gestion des informations et des événements de sécurité), le stockage à long terme et les fonctionnalités d’interrogation améliorées avec Log Analytics. Les schémas de journal pour Azure Monitor peuvent différer des schémas Microsoft Graph.

Pour plus d’informations sur ces schémas, consultez les articles suivants :

• Journaux d’audit Azure Monitor
• Journaux de connexion Azure Monitor
• Journaux d’approvisionnement Azure Monitor
• Journaux d'audit Microsoft Graph
• Journaux de connexion Microsoft Graph
• Journaux d’approvisionnement Microsoft Graph

Comment interpréter le schéma

Lorsque vous recherchez les définitions d’une valeur, faites attention à la version que vous utilisez. Il peut y avoir des différences entre les versions V1.0 et bêta du schéma.

Valeurs trouvées dans tous les schémas de journal

Certaines valeurs sont communes à tous les schémas de journal.

• correlationId : cet ID unique permet de mettre en corrélation les activités qui s’étendent sur différents services et est utilisé pour la résolution des problèmes. La présence de cette valeur dans plusieurs journaux n’indique pas la possibilité de joindre des journaux entre les services.
• status ou result : cette valeur importante indique le résultat de l’activité. Les valeurs possibles sont : success, failure, timeout, unknownFutureValue.
• Date et heure : date et heure à laquelle l’activité s’est produite est en temps universel coordonné (UTC).
• Certaines fonctionnalités de création de rapports nécessitent une licence Microsoft Entra ID P2. Si vous n’avez pas les licences correctes, la valeur hidden est retournée.

Journaux d’audit

• activityDisplayName : indique le nom de l’activité ou le nom de l’opération (exemples : « Créer un utilisateur » et « Ajouter un membre au groupe »). Pour plus d’informations, consultez Activités du journal d'audit.
• category : indique la catégorie de ressource ciblée par l’activité. Par exemple : UserManagement, GroupManagement, ApplicationManagement, RoleManagement. Pour plus d’informations, consultez Activités du journal d'audit.
• initiatedBy : indique des informations sur l’utilisateur ou l’application qui a lancé l’activité.
• targetResources : fournit des informations sur la ressource qui a été modifiée. Les valeurs possibles sont User, Device, Directory, App, Role, Group, Policy ou Other.

Journaux de connexion

• Valeurs d’ID : ce sont des identifiants uniques pour les utilisateurs, les clients, les applications et les ressources. Exemples :
  • resourceId : la ressource à laquelle l’utilisateur s’est connecté.
  • resourceTenantId : le client propriétaire de la ressource qui a été consultée. Sera identique à homeTenantId.
  • homeTenantId : le client propriétaire du compte d’utilisateur qui se connecte.
• Détails du risque : Fournit le motif de l’état spécifique d’un utilisateur à risque, d’une connexion ou d’une détection d’événement à risque.
  • riskState : Signale l’état de l’utilisateur à risque, de la connexion ou d’un événement à risque.
  • riskDetail : Fournit le motif de l’état spécifique d’un utilisateur à risque, d’une connexion ou d’une détection d’événement à risque. La valeur none signifie qu’aucune action n’a été effectuée sur l’utilisateur ou la connexion jusqu’à présent.
  • riskEventTypes_v2 : Types de détection de risque associés à la connexion.
  • riskLevelAggregated : Niveau de risque agrégé. La valeur hidden indique que l’utilisateur ou la connexion n’a pas été activé pour la Protection des ID Microsoft Entra.
• crossTenantAccessType : décrit le type d’accès entre clients utilisé pour accéder à la ressource. Par exemple, les connexions B2B, Support Microsoft et directes sont capturées ici.
• status : l’état de la connexion qui inclut le code d’erreur et la description de l’erreur (en cas d’échec de connexion).

Stratégies d’accès conditionnel appliquées

La sous-section appliedConditionalAccessPolicies répertorie les stratégies d’accès conditionnel liées à cet événement de connexion. La section est appelée stratégies d’accès conditionnel appliquées . Toutefois, les stratégies qui n’ont pas été appliquées apparaissent également dans cette section. Une entrée distincte est créée pour chaque stratégie. Pour plus d’informations, consultez type de ressource conditionalAccessPolicy.